Jogosult engedélyek létrehozása
Amikor ügyfeleket hoz létre az Azure Lighthouse-ba, engedélyeket hoz létre, hogy meghatározott Azure-beli beépített szerepköröket adjon a felügyelt bérlő felhasználóinak. Olyan jogosult engedélyeket is létrehozhat, amelyek a Microsoft Entra Privileged Identity Management (PIM) használatával engedélyezik, hogy a kezelő bérlő felhasználói átmenetileg emeljék a szerepkörüket. Ez lehetővé teszi további engedélyek megadását igény szerint, hogy a felhasználók csak meghatározott időtartamra rendelkezzenek ezekkel az engedélyekkel.
A jogosult engedélyek létrehozásával minimálisra csökkentheti a felhasználók kiemelt szerepkörökhöz való állandó hozzárendeléseinek számát, így csökkentheti a bérlői felhasználók kiemelt hozzáférésével kapcsolatos biztonsági kockázatokat.
Ez a témakör bemutatja, hogyan működnek a jogosult engedélyek, és hogyan hozhatók létre az ügyfelek Azure Lighthouse-ba való előkészítésekor.
Licenckövetelmények
A jogosult engedélyek létrehozásához nagyvállalati mobilitási + biztonsági E5 (EMS E5) vagy Microsoft Entra ID P2-licenc szükséges.
Az EMS E5 vagy a Microsoft Entra ID P2 licencet nem az ügyfélbérlő, hanem a kezelő bérlő birtokolja.
A jogosult szerepkörökhöz kapcsolódó többletköltségek csak abban az időszakban lesznek érvényesek, amikor a felhasználó megemeli a szerepkörhöz való hozzáférését.
A felhasználók licenceiről további információt Microsoft Entra ID-kezelés licencelési alapjaiban talál.
A jogosult engedélyek működése
A jogosult engedélyezés olyan szerepkör-hozzárendelést határoz meg, amely megköveteli, hogy a felhasználó aktiválja a szerepkört, amikor kiemelt feladatokat kell végrehajtania. Amikor aktiválják a jogosult szerepkört, a szerepkör által megadott teljes hozzáféréssel rendelkeznek a megadott időtartamra.
Az ügyfélbérlemény felhasználói az előkészítési folyamat előtt áttekinthetik az összes szerepkör-hozzárendelést, beleértve a jogosult engedélyeket is.
Miután egy felhasználó sikeresen aktivált egy jogosult szerepkört, az emelt szintű szerepkör az adott hatókörhöz tartozó állandó szerepkör-hozzárendelés(ek) mellett egy előre konfigurált időszakra is érvényes lesz a delegált hatókörben.
A felügyeleti bérlő rendszergazdái az összes Privileged Identity Management-tevékenységet áttekinthetik a naplózási napló megtekintésével a felügyeleti bérlőben. Az ügyfelek megtekinthetik ezeket a műveleteket a delegált előfizetés Azure-tevékenységnaplójában.
Jogosult engedélyezési elemek
Jogosult hitelesítést hozhat létre az ügyfelek Azure Resource Manager-sablonokkal való előkészítésekor, vagy egy felügyelt szolgáltatásokra vonatkozó ajánlat Azure Marketplace-en való közzétételével. Minden jogosult engedélyezésnek három elemet kell tartalmaznia: a felhasználót, a szerepkört és a hozzáférési szabályzatot.
User
Minden jogosult engedélyezéshez meg kell adnia az egyszerű azonosítót egy egyéni felhasználóhoz vagy egy Microsoft Entra-csoporthoz a kezelő bérlőben. Az egyszerű azonosító mellett meg kell adnia egy megjelenítendő nevet az egyes engedélyekhez.
Ha egy csoport jogosult engedélyezésben van megadva, a csoport bármely tagja a hozzáférési szabályzatnak megfelelő egyéni hozzáférést emelhet az adott szerepkörhöz.
A szolgáltatásnevekhez nem használhat jogosult engedélyeket, mivel jelenleg nincs mód arra, hogy egy szolgáltatásnév-fiók megemelje a hozzáférését, és jogosult szerepkört használjon. Olyan jogosult engedélyeket delegatedRoleDefinitionIds
sem használhat, amelyeket a felhasználói hozzáférés rendszergazdája hozzárendelhet a felügyelt identitásokhoz.
Feljegyzés
Minden jogosult engedélyezéshez létre kell hoznia egy állandó (aktív) hitelesítést is ugyanahhoz az egyszerű azonosítóhoz egy másik szerepkörrel, például olvasóval (vagy egy másik beépített Azure-szerepkörrel, amely olvasói hozzáférést tartalmaz). Ha nem tartalmaz olvasói hozzáféréssel rendelkező állandó hitelesítést, a felhasználó nem fogja tudni megemelni a szerepkörét az Azure Portalon.
Szerepkör
Minden jogosult engedélyezésnek tartalmaznia kell egy beépített Azure-szerepkört , amelyet a felhasználó megfelelő időben használhat.
A szerepkör bármilyen beépített Azure-szerepkör lehet, amely az Azure delegált erőforrás-kezeléséhez támogatott, kivéve a felhasználói hozzáférés rendszergazdája.
Fontos
Ha több olyan jogosult engedélyezést is tartalmaz, amelyek ugyanazt a szerepkört használják, mindegyik jogosult engedélyezésnek ugyanazokat a hozzáférési szabályzat-beállításokat kell tartalmaznia.
Hozzáférési szabályzat
A hozzáférési szabályzat meghatározza a többtényezős hitelesítési követelményeket, azt, hogy a felhasználó mennyi ideig lesz aktiválva a szerepkörben, mielőtt lejár, és hogy szükség van-e jóváhagyókra.
Többtényezős hitelesítés
Adja meg, hogy szükség van-e többtényezős Microsoft Entra-hitelesítésre egy jogosult szerepkör aktiválásához.
Maximális időtartam
Adja meg azt az időtartamot, amelyre a felhasználó jogosult szerepkört kap. A minimális érték 30 perc, a maximális érték pedig 8 óra.
Jóváhagyók
A jóváhagyók eleme nem kötelező. Ha belefoglalja, legfeljebb 10 felhasználót vagy felhasználói csoportot adhat meg a kezelő bérlőben, akik jóváhagyhatják vagy elutasíthatják a felhasználótól érkező kéréseket a jogosult szerepkör aktiválásához.
Nem használhat egyszerű szolgáltatásfiókot jóváhagyóként. Emellett a jóváhagyók nem hagyhatják jóvá a saját hozzáférésüket; ha egy jóváhagyó is felhasználóként szerepel egy jogosult engedélyezésben, egy másik jóváhagyónak hozzáférést kell adnia ahhoz, hogy emelhesse a szerepkörét.
Ha nem tartalmaz jóváhagyókat, a felhasználó bármikor aktiválhatja a jogosult szerepkört.
Jogosult engedélyek létrehozása felügyelt szolgáltatások ajánlatainak használatával
Ha az ügyfelet az Azure Lighthouse-ba szeretné előkészíteni, közzéteheti a felügyelt szolgáltatások ajánlatait az Azure Marketplace-en. Amikor a Partnerközpontban hozza létre az ajánlatokat, megadhatja, hogy az egyes engedélyek hozzáférési típusának aktívnak vagy jogosultnak kell-e lennie.
Ha a Jogosult lehetőséget választja, az ön engedélyében szereplő felhasználó a konfigurált hozzáférési szabályzatnak megfelelően aktiválhatja a szerepkört. 30 perc és 8 óra közötti maximális időtartamot kell megadnia, és meg kell adnia, hogy többtényezős hitelesítésre van-e szükség. Ha úgy dönt, hogy használja őket, legfeljebb 10 jóváhagyót adhat hozzá, és mindegyikhez megjeleníthet egy megjelenítendő nevet és egy egyszerű azonosítót.
Mindenképpen tekintse át a Jogosult engedélyezési elemek szakaszban található részleteket, amikor konfigurálja a jogosult engedélyeket a Partnerközpontban.
Jogosult engedélyek létrehozása Azure Resource Manager-sablonok használatával
Ha az ügyfelet az Azure Lighthouse-ba szeretné előkészíteni, egy Azure Resource Manager-sablont és egy módosítandó paraméterfájlt használ. A választott sablon attól függ, hogy egy teljes előfizetést, egy erőforráscsoportot vagy több erőforráscsoportot készít-e egy előfizetésen belül.
Ha jogosult engedélyeket szeretne belefoglalni egy ügyfél előkészítésekor, használja a minta-adattár delegált-resource-management-eligible-authorizations szakaszának egyik sablonját. A sablonokat jóváhagyókkal együtt és nélkülük biztosítjuk, hogy a forgatókönyvhöz legjobban megfelelőt használhassa.
Ennek előkészítése (jogosult engedélyekkel) | Az Azure Resource Manager-sablon használata | És módosítsa ezt a paraméterfájlt |
---|---|---|
Előfizetés | subscription.json | subscription.parameters.json |
Előfizetés (jóváhagyókkal) | subscription-managing-tenant-approvers.json | subscription-managing-tenant-approvers.parameters.json |
Erőforráscsoport | rg.json | rg.parameters.json |
Erőforráscsoport (jóváhagyókkal) | rg-managing-tenant-approvers.json | rg-managing-tenant-approvers.parameters.json |
Több erőforráscsoport egy előfizetésen belül | multiple-rg.json | multiple-rg.parameters.json |
Több erőforráscsoport egy előfizetésen belül (jóváhagyókkal) | multiple-rg-managing-tenant-approvers.json | multiple-rg-managing-tenant-approvers.parameters.json |
Az alábbi subscription-managing-tenant-approvers.json sablon jelenik meg, amely alkalmas engedélyekkel (beleértve a jóváhagyókat is) rendelkező előfizetések előkészítésére.
{
"$schema": "https://schema.management.azure.com/schemas/2019-08-01/subscriptionDeploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"mspOfferName": {
"type": "string",
"metadata": {
"description": "Specify a unique name for your offer"
}
},
"mspOfferDescription": {
"type": "string",
"metadata": {
"description": "Name of the Managed Service Provider offering"
}
},
"managedByTenantId": {
"type": "string",
"metadata": {
"description": "Specify the tenant id of the Managed Service Provider"
}
},
"authorizations": {
"type": "array",
"metadata": {
"description": "Specify an array of objects, containing tuples of Azure Active Directory principalId, a Azure roleDefinitionId, and an optional principalIdDisplayName. The roleDefinition specified is granted to the principalId in the provider's Active Directory and the principalIdDisplayName is visible to customers."
}
},
"eligibleAuthorizations": {
"type": "array",
"metadata": {
"description": "Provide the authorizations that will have just-in-time role assignments on customer environments with support for approvals from the managing tenant"
}
}
},
"variables": {
"mspRegistrationName": "[guid(parameters('mspOfferName'))]",
"mspAssignmentName": "[guid(parameters('mspOfferName'))]"
},
"resources": [
{
"type": "Microsoft.ManagedServices/registrationDefinitions",
"apiVersion": "2020-02-01-preview",
"name": "[variables('mspRegistrationName')]",
"properties": {
"registrationDefinitionName": "[parameters('mspOfferName')]",
"description": "[parameters('mspOfferDescription')]",
"managedByTenantId": "[parameters('managedByTenantId')]",
"authorizations": "[parameters('authorizations')]",
"eligibleAuthorizations": "[parameters('eligibleAuthorizations')]"
}
},
{
"type": "Microsoft.ManagedServices/registrationAssignments",
"apiVersion": "2020-02-01-preview",
"name": "[variables('mspAssignmentName')]",
"dependsOn": [
"[resourceId('Microsoft.ManagedServices/registrationDefinitions/', variables('mspRegistrationName'))]"
],
"properties": {
"registrationDefinitionId": "[resourceId('Microsoft.ManagedServices/registrationDefinitions/', variables('mspRegistrationName'))]"
}
}
],
"outputs": {
"mspOfferName": {
"type": "string",
"value": "[concat('Managed by', ' ', parameters('mspOfferName'))]"
},
"authorizations": {
"type": "array",
"value": "[parameters('authorizations')]"
},
"eligibleAuthorizations": {
"type": "array",
"value": "[parameters('eligibleAuthorizations')]"
}
}
}
Jogosult engedélyek definiálása a paraméterfájlban
Az subscription-managing-tenant-approvers.parameters.json mintasablon használható az engedélyek meghatározására, beleértve a jogosult engedélyeket is az előfizetés előkészítésekor.
Minden jogosult engedélyezést meg kell határozni a eligibleAuthorizations
paraméterben. Ez a példa egy jogosult engedélyezést tartalmaz.
Ez a sablon tartalmazza az managedbyTenantApprovers
elemet is, amely hozzáad egy principalId
olyan tagot, akinek jóvá kell hagynia az elemben eligibleAuthorizations
definiált jogosult szerepkörök aktiválására tett összes kísérletet.
{
"$schema": "https://schema.management.azure.com/schemas/2018-05-01/subscriptionDeploymentParameters.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"mspOfferName": {
"value": "Relecloud Managed Services"
},
"mspOfferDescription": {
"value": "Relecloud Managed Services"
},
"managedByTenantId": {
"value": "<insert the managing tenant id>"
},
"authorizations": {
"value": [
{
"principalId": "00000000-0000-0000-0000-000000000000",
"roleDefinitionId": "acdd72a7-3385-48ef-bd42-f606fba81ae7",
"principalIdDisplayName": "PIM group"
}
]
},
"eligibleAuthorizations":{
"value": [
{
"justInTimeAccessPolicy": {
"multiFactorAuthProvider": "Azure",
"maximumActivationDuration": "PT8H",
"managedByTenantApprovers": [
{
"principalId": "00000000-0000-0000-0000-000000000000",
"principalIdDisplayName": "PIM-Approvers"
}
]
},
"principalId": "00000000-0000-0000-0000-000000000000",
"principalIdDisplayName": "Tier 2 Support",
"roleDefinitionId": "b24988ac-6180-42a0-ab88-20f7382dd24c"
}
]
}
}
}
A paraméter minden bejegyzése eligibleAuthorizations
három olyan elemet tartalmaz, amelyek egy jogosult engedélyezést határoznak meg: principalId
, roleDefinitionId
és justInTimeAccessPolicy
.
principalId
megadja annak a Microsoft Entra-felhasználónak vagy csoportnak az azonosítóját, amelyre ez a jogosult engedélyezés érvényes lesz.
roleDefinitionId
Tartalmazza egy azure-beli beépített szerepkör szerepkördefiníciós azonosítóját, amelyet a felhasználó megfelelő időben használhat. Ha több olyan jogosult hitelesítést is tartalmaz, amelyek ugyanazt roleDefinitionId
használják, mindegyiknek azonos beállításokkal kell rendelkeznie justInTimeAccessPolicy
.
justInTimeAccessPolicy
három elemet határoz meg:
multiFactorAuthProvider
Beállíthatja az Azure-t, amely a Microsoft Entra többtényezős hitelesítést használó hitelesítést igényel, vagy a Nincs értékre, ha nem lesz szükség többtényezős hitelesítésre.maximumActivationDuration
Meghatározza, hogy a felhasználónak mennyi ideig lesz jogosult szerepköre. Ennek az értéknek az ISO 8601 időtartamformátumot kell használnia. A minimális érték PT30M (30 perc), a maximális érték pedig PT8H (8 óra). Az egyszerűség kedvéért azt javasoljuk, hogy csak félórás növekményekben használjunk értékeket, például a PT6H-t 6 órán keresztül, vagy PT6H30M 6,5 órán keresztül.- A(z)
managedByTenantApprovers
nem kötelező. Ha belefoglalja, annak tartalmaznia kell egy principalId és egy principalIdDisplayName egy vagy több kombinációját, akiknek jóvá kell hagyniuk a jogosult szerepkör aktiválását.
További információ ezekről az elemekről: Jogosult engedélyezési elemek szakasz.
Jogosultságszint-emelési folyamat felhasználók számára
Miután előkészített egy ügyfelet az Azure Lighthouse-ba, az Ön által megadott jogosult szerepkörök elérhetők lesznek a megadott felhasználó (vagy a megadott csoportok felhasználói számára).
Minden felhasználó bármikor emelheti a hozzáférését az Azure Portal Saját ügyfelek lapjának felkeresésével, a delegálás kiválasztásával, majd a Jogosult szerepkörök kezelése lehetőség kiválasztásával. Ezt követően az alábbi lépéseket követve aktiválhatják a szerepkört a Microsoft Entra Privileged Identity Managementben.
Ha a jóváhagyók meg lettek adva, a felhasználó csak akkor férhet hozzá a szerepkörhöz, ha a jóváhagyást egy kijelölt jóváhagyó adja meg a kezelő bérlőtől. A jóváhagyás kérésekor az összes jóváhagyó értesítést kap, és a felhasználó csak a jóváhagyás megadásáig használhatja a jogosult szerepkört. Ha ez történik, a jóváhagyók is értesítést kapnak. A jóváhagyási folyamatról további információt az Azure-erőforrás-szerepkörökre vonatkozó kérelmek jóváhagyása vagy elutasítása a Privileged Identity Managementben című témakörben talál.
A jogosult szerepkör aktiválása után a felhasználó a jogosult engedélyezésben megadott teljes időtartamra megkapja ezt a szerepkört. Ezt az időtartamot követően a továbbiakban nem fogják tudni használni ezt a szerepkört, hacsak nem ismételik meg a jogosultságszint-emelési folyamatot, és nem emelik újra a hozzáférésüket.
Következő lépések
- Megtudhatja, hogyan hozhat létre ügyfeleket az Azure Lighthouse-ba ARM-sablonok használatával.
- Megtudhatja, hogyan hozhat létre ügyfeleket felügyelt szolgáltatási ajánlatok használatával.
- További információ a Microsoft Entra Privileged Identity Managementről.
- További információ a bérlőkről, a felhasználókról és a szerepkörökről az Azure Lighthouse-ban.